#KelpDAOBridgeHacked

‍#Gate13thAnniversaryLive
Мост KelpDAO, поддерживаемый ZRO, был взломан 18 апреля 2026 года, в результате чего было украдено примерно $292–294 миллиона монет на более чем 20 цепочках; это стало крупнейшей атакой DeFi в 2026 году. Атака, осуществленная с помощью одного скомпрометированного валидатора ZRO, вызвала немедленные заморозки на Aave, Arbitrum и других протоколах.

Основная информация

Дата атаки: 18 апреля 2026 года, около 17:35 по UTC

Украденные средства: около 116 500 монет (~$292–294 миллиона), около 18% циркулирующего предложения

Вектор атаки: Поддельное межцепочечное сообщение ZRO через скомпрометированную сеть децентрализованных валидаторов 1-к-1 (DVN) настройка

Затронутые протоколы: Aave, SparkLend, Fluid, Arbitrum, Lido, Ethena, Compound, Euler

Немедленные последствия:

Aave заморозил V3 и V4 и столкнулся с риском плохого долга на сумму около ~$177–196 миллионов.

Arbitrum заморозил 30 766 ETH (~$100 миллионов), связанных с кошельком хакера.

ZRO упал более чем на 22% за 24 часа.

Цена токена AAVE снизилась примерно на 20% до $92.06.

Рыночное влияние

Ethereum (ETH): Цена сразу после атаки упала до $2 300 и полностью учтена рынками предсказаний.

Bitcoin (BTC): Повышение опасений риска увеличило вероятность достижения контрактами предсказаний для BTC уровня $60 000 к концу апреля до 22%.

Ликвидность DeFi: Около $9 миллиард$100 было выведено из Aave в панике; это указывает на системный страх относительно безопасности залога моста.

Ответственность и атрибуция

Подозреваемый злоумышленник: Группа Лазаря из Северной Кореи, использующая сложные методы подделки.

Позиция KelpDAO: Обвиняет инфраструктуру ZRO, особенно скомпрометированные RPC-узлы и небезопасную настройку 1-к-1 DVN. Kelp настаивает, что его собственные контракты не были напрямую использованы.

Ответ ZRO: Признает недостатки в настройке валидатора, активно работает над исправлениями совместно с KelpDAO.

Меры и дальнейшие шаги

Аварийные заморозки: KelpDAO остановил перевод украденных монет между Ethereum и L2 в течение 46 минут.
Заблокированные кошельки: KelpDAO занес в черный список злоупотребляющие адреса и внедрил SEAL 911 — горячую линию для угроз безопасности.

Действия управления: DAO Arbitrum проголосует за судьбу (миллиона долларов замороженного ETH.

Будущие исправления: Ведутся призывы к использованию нескольких настроек валидаторов DVN для предотвращения единой точки отказа в межцепочечной передаче сообщений.

Риски и уроки

Уязвимости мостов остаются крупнейшим системным риском в DeFi.

Настройка одного валидатора недопустима для протоколов с высокой стоимостью; критична избыточность.

Распространение залога: Использование скомпрометированных активов в качестве залога )например, на Aave$ZRO может привести к распространению ущерба на несколько платформ.

Доверие сообщества: KelpDAO, у которого до атаки было заблокировано активов на сумму 1,57 миллиарда долларов, понесло удар по своей репутации, и восстановление будет зависеть от прозрачных исправлений.
‍$AAVE $ARB